Trojan.Encoder зашифровал файлы *.dbf, дописав расширение «.qwerty»

Рубрика: 1С 7.7

У одних моих клиентов случилась такая беда. Вирус Trojan.Encoder.94 зашифровал  файлы *.dbf в программе 1С 7.7. ТиС, дописав расширение «.qwerty». 1С, естественно, работать перестала. Стала выдавать ошибку: разрушение структуры базы данных:

virus011

Файлы базы данных выглядели вот так:

virus02

Надо сказать, что вирус зашифровал не только файлы  *.dbf, но и все архивы. В результате, работа полностью встала, т.к. даже восстановить базу из архива мы не могли.

В каждом каталоге вирус создал текстовый файл КАК РАСШИФРОВАТЬ ФАЙЛЫ.txt с таким содержанием:

Доброго времени суток! Доносим до Вас не самую приятную новость, ваш компьютер был атакован опаснейшим вирусом. Вся ваша информация (документы, базы данных, бэкапы и другие файлы) на этом компьютере были зашифрованы с помощью самых криптостойких алгоритмов. Восстановить файлы можно только при помощи дешифратора и пароля, который, в свою очередь, знаем только мы. Подобрать его невозможно. Переустановка ОС ничего не изменит. Ни один системный администратор в мире не решит эту проблему не зная пароля. Ни в коем случае не изменяйте файлы! А если решились, то сделайте резервные копии. Напишите нам письмо на адрес vip.silect@mail.ru для получения дальнейших инструкций. Среднее время ответа специалиста 1-10 часов. Письма с угрозами ни к чему хорошему вас не приведут. НЕ ЗАБУДЬТЕ: только МЫ можем расшифровать Ваши файлы!

Я, честно говоря, первый раз столкнулся с такой проблемой, хотя бороться с разными вирусами мне приходится довольно часто. Естественно, я залез в интернет и прочитал все, что пишут на эту тему. Нашел пару утилит для расшифровки файлов в паблике. Одна от DrWeb, вторая от Касперского. Но к сожалению ни та не другая мне не помогли. Дело в том, что в разных вирусах используются разные ключи для шифрования и без знания ключа утилиты бесполезны.

Выводы из моих поисков. Если вы не хотите платить злоумышленникам (к слову, за расшифровку они требуют 15 000 руб.), обращаться есть смысл только в специализированные антивирусные компании: Касперского, NOD, DrWeb... Эти компании оказывают помощь по расшифровке бесплатно, но только тем, кто имеет действующую лицензию на их антивирус. Надо сказать, что DrWeb, на мой личный взгляд, дальше всех продвинулся в этом вопросе. Их уже найденные решения можно посмотреть здесь.

В результате, проблему решили так: купили антивирус от DrWeb и с уже имеющейся лицензией обратились в их службу поддержки. Вечером я туда написал, утром уже получил ответ с утилитой для расшифровки и ключем для нашего случая. Базу получилось восстановить. Хотя, я считаю, что нам повезло, т.к. кодирование произошло во время работы 1С при открытых файлах. И эти изменения (кодирование и переименование) вполне могли стать необратимыми.

Если у кого-то такая же проблема, пишите в комментах, если будет нужно— выложу утилиту и ключ.

34 комментария к “Trojan.Encoder зашифровал файлы *.dbf, дописав расширение «.qwerty»”

  • Александр
    15 сентября, 2013, 21:40

    Да, очень неприятная штука этот вирус. У меня зашифровала весь семейный архив. К счастью, получилось расшифровать утилитой от DrWeb из паблика — ключ подошел. После этого все фотки сразу на DVD нарезал.

  • 20 сентября, 2013, 16:55

    Дмитрий, ответил вам на почту.

  • tppmail
    15 октября, 2013, 16:54

    Будте добры пож. утилитку. У нас такой же случай. Спасибо.

  • Валерий
    31 октября, 2013, 14:25

    У меня точно такая же проблема, только e-mail другой.

    если есть возможность вышли мне утилиту с ключём, буду очень признателен.

  • 31 октября, 2013, 16:30

    Валерий,

    отправил ответ на почту.

  • Василий
    1 ноября, 2013, 2:15

    У меня такая же беда, буду признателен если поможешь, спасибо

  • 1 ноября, 2013, 7:17

    Василий, вот ссылка на утилиту от DrWeb:

    ключ: -k 378,

    т.е. запускать так : te94decrypt.exe -k 378

    Надеюсь, поможет. Удачи!

  • Валерий
    1 ноября, 2013, 8:52

    Ссылка

    te94decrypt.exe -k 389

    мне помогло вот это

  • 1 ноября, 2013, 10:22

    Да, вся сложность как раз в том, чтобы найти нужный ключ для расшифровки. Рад, что у вас все получилось.

  • Денис
    12 августа, 2014, 17:31

    У меня похожая ситуация, только Trojan.Encoder.741, никто не подскажет, где взять утилитку?

  • 12 августа, 2014, 22:47

    Денис, купите DrWeb и обратитесь к ним в тех. поддержку.

  • 13 ноября, 2014, 16:04

    Трояны очень коварные вирусы. Их можно впустить на свой компьютер при установке различных программ и и не только... Пустяки, если это домашний комп и нет серьезных программ, вроде 1С. Хорошо, что есть утилиты, которые буквально спасают от этой заразы.

  • 13 ноября, 2014, 16:56

    Приветствую, Надежда. Хорошо, когда спасают. Но вымогатели постоянно совершенствуются. И сейчас нет никакой гарантии, что удастся расшифровать файлы. 

    Вот ссылки об их последних изобретениях:

    здесь и здесь

    Так что лучший способ: копировать ценные данные на внешний диск или флешку.

  • 26 ноября, 2014, 10:09

    Здравствуйте, Андрей. Вы меня огорчаете. Вот делать людям нечего, изобретать зловредные вирусы! (Кстати, ссылочки в комментариях у Вас открыты!)

  • 26 ноября, 2014, 11:44

    Надежда, я не огорчаю, я предупреждаю 😉

    Просто мне по работе приходится часто сталкиваться с разными вирусами. 

    И если раньше пользовательская информация страдала очень редко, то теперь — все не так. И надо защищать то что действительно ценно. 

    (За ссылки — спасибо, проверил на паре сервисов — они не светятся, как внешние. В комментах у меня ссылки не должны светиться).

  • 26 ноября, 2014, 12:30

    Андрей, в этой статье выше в комментах еще три открытых ссылки. Мне их подсвечивает RdsBar. Это сто пудовый плагин, ошибки быть не может. Да и в других статьях ссылки тоже открытые (те, что в теле коммента).

  • 26 ноября, 2014, 12:59

    Поставил плагин, посмотрел... Удобно )

    Он ссылки «nofollow» тоже как внешние показывает. В комментах ссылки позакрывал. Спасибо!

  • 26 ноября, 2014, 13:19

    Да, плагин зачетный. И закрытые ссылки тоже учитывайте, они все равно индексируются. Кстати, у Вас в сайдбаре 7 сквозняков. Я бы их тоже закрыла, это куча веса пропадает! Простите, что не по теме статьи тут понаписывала. Просто болею за Ваш блог 🙂

  • 26 ноября, 2014, 13:41

    Я тоже обратил на них внимание. Выделю время — тоже позакрываю. Спасибо!

  • 13 января, 2015, 11:22

    Здравствуйте Андрей. Я столкнулся тоже с такой проблемой, у вас случайно не сохранилась утилита для восстановления?Буду при очень благодарен.За ранее спасибо!

  • 13 января, 2015, 20:49

    Алексей, сочувствую. Ссылка есть в комментариях (7-й коммент сверху).

    Проблема в том, что шифруют по разному и с разными ключами шифрования. Поэтому гарантии нет даже при обращении в службу поддержки DrWeb.

    Но попытка, как говорят, не пытка. Удачи!

  • Михаил
    2 апреля, 2015, 15:37

    Доброго времени суток, Андрей!

    Вот реально прямые ссылки в комментах на дешифровщики только у Вас вижу.

    Ситуация:

    Открыли архив, внутри js файл. Ну и запустили конечно же.

    Троян зашифровал файлы doc docx xls xlsx jpg pdf  и добавил им расширение vault

    Вот он на virustotal https://www.virustotal.com/ru/file/910936526f9031073e7765812aa7fb48c1781ff83771e333816585ed101b1184/analysis/

    Есть дешифровщик?

  • 2 апреля, 2015, 15:57

    Михаил, сочувствую... Все что у меня есть — уже выложил здесь. Могу порекомендовать только то, чем сам пользовался (описал в последнем абзаце статьи).

  • Михаил
    2 апреля, 2015, 16:01

    Та-да ) У меня лицензия на каспера, но толку что-то мало.

    Тоже думаю купить вэбэра, чтобы задать вопросы тех. поддержке.

    Какой Вы купили?

    Dr.Web Security Space на 3 мес. достаточно?

  • 2 апреля, 2015, 16:14

    Думаю достаточно. Я не видел, чтобы они как-то ограничивали помощь по типу лицензии. Но я с тех пор к ним не обращался.

    Каспер меня вообще удивляет. Сегодня буквально лечил CureIt-ом комп. Нашел и удалил штук 20 вирусов. Причем причина была в том, что Explprer перестал норм. работать и клиенты не могли зайти в интернет-банк. А каспер на этом компе стоит и говорит что все Ок и вирусов нет...!

  • Михаил
    2 апреля, 2015, 16:53

    У меня вообще ситуация весёлая.

    На момент заражения (31.03.15), стоял аваст фришный — не словил.

    В общем проверил я вредоносный файл на вирустотале... его еще ни кто не ловил.

    НО, к моему удивлению, его словил и интерактивно убил антивирус от мелкософта. 

    Никогда ничего не ловил, а тут молодец.

    P.S. утилиты от каспера, вэбэра, авира, аваст, нортон — всё было мимо и ничего не нашло.

    Сейчас да, обновились. Но что это за эвристика такая, что любой js выполняется.

    В общем воюю.

  • 2 апреля, 2015, 19:15

    Никогда не пользовался вирустоталом...

    А на тему выполнения — если пользователь говорит выполнить — оно выполняется. 

    Мне клиенты рассказывали (стоял НОД): «пришло письмо. Вложение не открывалось, т.к. антивирус ругался. Но я все-таки его запустила! После этого все файлы были зашифрованы...»  Что тут скажешь?

  • Андрей
    11 июня, 2016, 17:01

    Восстановимо это все, проходили уже,

    Был в похожей ситуации, пришло на почту письмо, якобы от арбитражного суда ЦАО. Открыл, прошел по ссылке и все документы и 1С в том числе стали бессмысленным кодом. Мошенникам деньги высылали, но «дешифратора» не получили. В полиции — тишина. В «Касперском», лицензия которого стояла, сказали, что восстановление, скорее всего невозможно. В итоге, восстановили ребята из tetrou.com за какие-то смешные деньги. Приехал их техник, забрал ноутбук, привез на следующее утро — все на месте. Насколько я изучал ситуацию, это можно расшифровать только если имеешь очень мощные серверы для нахождения «ключа шифра»

  • 11 июня, 2016, 17:25

    Андрей, хорошо, если они действительно это делают.

  • Татьяна
    26 октября, 2016, 22:56

    Добрый день. У нас 1С 8.3 и сегодня — база данных не обнаружена, что нам делать, архивы все на сервере. Как нам теперь восстановить все???? ужас просто охватил! Помогите пожалуйста. Спасибо.

  • 27 октября, 2016, 0:49

    Татьяна, сочувствую!

    Если файлы зашифрованы — попробуйте обратиться в службу поддержи DrWeb. Возможно, они смогут вам помочь.

  • Himik
    15 декабря, 2016, 4:27

    Мне не помогли ни Касперский и доктор не помог c расшифровкой.

    Помогли специалисты

    tetrou.com/deshifrovka

    Платно, но выхода не было, нужны были файлы срочно по работе. А какой выход?

    Или плати вымогателям или спецам.

    Хотя взяли по божески, а этим мошенникам ни копейки не дам.

    В будущем буду умнее, делаю 3 копии файлов на разных носителях.

  • Татьяна
    25 января, 2017, 23:12

    Добрый вечер! Помогите восстановить базу 1с 7.7. Файлы дбф не открываются (не являются дбф-файлом), но названия остались без изменения...

  • 25 января, 2017, 23:34

    Татьяна, добрый вечер. Я вам сочувствую, но помочь могу только тем что написано в статье, поскольку сам прошел этим путем: попробуйте купить лицензию drweb и обратиться к ним в службу поддержки. Возможно, они тоже смогут вам помочь.

Оставить комментарий или два

Оповещать о новых комментариях по RSS